计算机无线网络安全的浅谈

摘要：当前通过组建无线网络来访问因特网已经成为一个趋势，然而又有多少人知道在这个趋势的背后隐藏着多少的网络安全隐患呢？无线网络与有线网络相比，不需要物理上线路的连接，完全借助无线电磁波进行连接，因此，无线网络比有线网络更容易受到入侵。本文介绍了无线网络和无线局域网建设的现状及存在哪些安全隐患，并告诉你如何通过一些安全措施来让你的无线网络变的更安全、更可靠。
论文关键词：无线网络,安全,措施

　　据统计，目前全球在建和规划中的无线城市已超过1500个。从总体上来看，全球无线热点、无线热区、无线城市的建设已是大势所趋，成为当今世界潮流。这也正因为无线网络这样几个优势：一是可移动性，二是安装维护容易，三是组网灵活，四是特殊环境应用方便。

　　WLAN开始是作为有线局域网的延伸而存在的，各团体、企事业单位广泛地采用了WLAN技术来构建其办公网络。随着应用的进一步发展，WLAN正逐渐从传统意义上的局域网技术发展成为“公共无线局域网”，成为国际互联网宽带接入手段。无线局域网之间传递消息不依赖于物理布线，这无疑给用户带来了极大的方便，但同时也使得无线局域网比传统局域网面临更多的安全威胁。目前，我们国内的无线局域网现状，按照应用规模大致可以分文以下四种类型：个人及家庭用户、企业用户、公共热点、大面积覆盖。

　　二、无线网络安全隐患

　　无线网络摆脱庞杂的网络联线的束缚，极大的提高办公效率，实现了人们移动办公的梦想。无线技术给人们带来的影响是巨大的，但由于无线局域网采用公共的电磁波作为载体，因此对越权存取和窃听的行为也更不容易防备，使得它的安全性更加难以保证，网络将面临着严重的威胁，我们需要无线网络带来的便捷和高效，更需要无线网络能够给我们带来足够的安全性。

　　往往一般人会觉得无线网络目前最主要破解无线网络设置的密码，占用网络的资源，这是错误的想法，最可怕的是存在着商业利益，而往往黑客的存在也正因为此，黑客通过数据窃听、截取和篡改传输数据，到达了他所要的目的，从商业上分析这个损失是巨大的。如私接AP，无线局域网接入点是便宜的，容易安装，小巧而容易携带。非法的WLAN AP可以在IT管理人员无法察觉的情况下恶意地或无意地接入到企业网络，只需要把一个小巧的WLAN AP带到企业内部，然后连接到以太网接口上就行了。

　　除了外来的攻击外，存在的安全隐患也在于“自己”。许多时候，IT管理人员都会让合法的AP仍旧保持出厂时的默认设置或者没有恰当地对它进行设置，这会使AP在没有加密或在弱加密(如WEP)的条件下工作。也有些时候，一个AP在没有设置任何口令的情况下与客户端连接，于是整个企业网络就都在没有任何口令情况下建立了无线连接。IEEE 802.1x认证协议发明者，即ExtremeNetworks公司副总裁VipinJain最近接受媒体采访时表示：“谈到无线网络，企业的IT技术员最担心两件事：首先，市面上的标准与安全解决方案太多，使得用户无所适从；第二，我如何避免网络遭到入侵或攻击？无线媒体是一个共享的媒介，不会受限于建筑物实体界线，因此有人要入侵网络可以说十分容易。”在有线网络阶段，技术人员可以通过部署防火墙硬件安全设备来构建一个防范外部攻击的防线，但是 “坚固的防线往往从内部被攻破”，由于无线网络具有接入方便的特点，使得我们原先耗资部署的有线网络防范设备轻易地就被绕过。

　　三、无线网络安全防范措施

　　从各种安全隐患看，我们可以从两个大的方面来防范，提高无线网络的安全性。

　　第一个方面从IT技术人员出发，提高无线网络安全设置的知识。

　　1、选择安全的路由器名字。如果使用生产厂商的配置软件来完成这一步，路由器的名字将作为广播点(又叫热点)，你或试图连接至路由器广播区范围之内的无线网络的任何人都看得见它。这时不要把路由器的品牌名或型号(如Belkin、Linksys或AppleTalk)作为其名字。那样的话，黑客很容易找出路由器可能存在的安全漏洞；同样，不要把你自己的姓名、住址、公司名称或项目团队等作为路由器的名字，这无疑帮助黑客猜出你的网络密码。　你可以通过这个办法来确保路由器名字的安全：名字完全由随机字母和数字或者不会透露路由器型号或你身份的其他任何字符串组成。

　　2、修改用户名和密码。一般的无线网络都是通过无线路由器或中继器来访问外部网络。通常这些路由器或中继器设备制造商为了便于用户设置这些设备建立起无线网络，都提供了一个管理页面工具。这个页面工具可以用来设置该设备的网络地址以及帐号等信息，为了保证只有设备拥有者才能使用这个管理页面工具，该设备通常也设有登陆界面，只有输入正确的用户名和密码的用户才能进入管理页面。然而在设备出售时，制造商给每一个型号的设备提供的默认用户名和密码都是一样，不幸的是，很多家用户购买这些设备回来之后，都不会去修改设备的默认的用户名和密码。这就使得黑客们有机可乘。他们只要通过简单的扫描工具很容易就能找出这些设备的地址并尝试用默认的用户名和密码去登陆管理页面，如果成功则立即取得该路由器的控制权。

　　3、设置密钥。黑客攻击电脑只要在无线路由器/中继器的有效范围内的话，就有很大机会访问到该无线网络，一旦它能访问该内部网络时，该网络中所有是传输的数据对他来说都是透明的。如果这些数据都没经过加密的话，黑客就可以通过一些数据包嗅探工具来抓包、分析并窥探到其中的隐私。如果开启无线网络加密，这样即使你在无线网络上传输的数据被截取了也没那么容易被解读。目前，主流无线路由器及无线网卡都提供有WEP、WPA/WPA2加密，通常我们选用能力最强的那种加密技术。同时配置软件提供了允许远程管理的选项，就要禁用这项功能，以便没有人能够通过互联网控制路由器设置；另外最好能做到定期更换密钥，可考虑每个季度更换一次密钥，这样安全性会大幅度提高。

　　4、禁止SSID广播。在无线网络中，各路由设备有个很重要的功能，那就是服务区标识符广播，即SSID广播。最初，这个功能主要是为那些无线网络客户端流动量特别大的商业无线网络而设计的。开启了SSID广播，利于无线网络客户端自动接收SSID号，从而利用这个SSID号连接到无线网络，但是这个功能却存在极大的安全隐患，就好像它自动地为想进入该网络的黑客打开了门户。在商业网络里，由于为了满足经常变动的无线网络接入端，必定要牺牲安全性来开启这项功能，但是作为家庭或拥有固定用户客户端的来讲，完全没有必要开启这项功能，我们可以告知他们SSID标识符，让他们自己手工直接输入以建立连接即可。

　　5、设置MAC地址过滤。每块无线网卡都拥有唯一的一个MAC 地址，为 AP 设置基于 MAC 地址的访问控制表，确保只有经过注册的设备才能进入网络。如果某个计算机的MAC地址没有出现在该列表上，它就无法连接到你的路由器和网络，但这并非万无一失的安全方法。经验老到的黑客可以为自己的计算机设定一个虚假的MAC地址，但他们需要知道你的授权计算机列表上有哪些MAC地址；遗憾的是，因为MAC地址在传输时没有经过加密，所以黑客只要探测或监控你网络上传输的数据包，就能知道列表上有哪些MAC地址。所以，MAC地址过滤只能对付黑客新手。

　　6、分配静态IP。